ブロードキャスト、マルチキャストの中長期分析実現方法
今回のブログ記事では、
「ブロードキャスト及びマルチキャストの中長期分析したい!」
といったご要望にお応えしたいと思います。
ntopngの”フロー”画面テーブルのプルダウンメニュー”方向”で”マルチキャスト/ブロードキャスト”を選択すると、現在インターフェイスに流れているマルチキャスト及びブロードキャストのフローを確認することができます。
こちらはリアルタイムで分析したい時は役立つのですが、中長期でブロードキャスト、マルチキャストのトラフィック量を分析したいといった要求には応えられません。
そこで、ntopngのローカルネットワーク設定とホストプール設定を使って、中長期分析を実現していきます。
ローカルネットワーク設定
# -m|–local-networks# ntopng determines the ip addresses and netmasks for each active interface. Any traffic on# those networks is considered local. This parameter allows the user to define additional# networks and subnetworks whose traffic is also considered local in ntopng reports. All# other hosts are considered remote. If not specified the default is set to 192.168.1.0/24.## Commas separate multiple network values. Both netmask and CIDR notation may be used,# even mixed together, for instance “131.114.21.0/24,10.0.0.0/255.0.0.0”.## -m=10.10.123.0/24
上記の-mオプションの英文説明は、manページのマニュアルをそのまま張り付けております。
説明が長いですが、-mオプションで定義したアドレス範囲がローカルネットワークとなり、その中のホストがローカルホストと認識されるといった理解をすれば十分です。
そしてローカルホストの場合、ntopngは中長期分析用にTimeseriesをRRD/InfluxDBに保存してくれます。
つまり、中長期分析をするには監視したいホストのIPアドレスを-mオプションのレンジ内に設定する必要があるということです。
こちらのntopngの動作を理解すれば、ブロードキャスト、マルチキャストの中長期分析を設定するにはどうすれば良いか?が理解できると思います。
ブロードキャストは、監視対象ネットワークの-mオプションに定義されていれば特別に設定する必要はありません。例えば、192.168.93.0/24を-mオプションで設定していれば、ntopngは192.168.93.255のデータを保存します。
マルチキャストの場合は、224.0.0.0/4(IPv4)及び,FF00::/8(IPv6)を-mオプションに設定すればよいでしょう。
設定例) -m=”224.0.0.0/4,FF00::/8″,192.168.93.0/24,192.168.92.0/24″
ホストプール設定
ntopngには、ホストプールというグルーピング機能があります。
こちらを利用して、マルチキャストアドレス、ブロードキャストアドレスのグループを作成すれば、ブロードキャスト、もしくはマルチキャストに所属するトラフィック全体を分析することができます。
プール名を定義後、図2のようにメンバーアドレスにマルチキャストアドレスのCIDRを定義します。
ブロードキャストは、それぞれのネットワークのCIDRを追加していってください。
ブロードキャスト、マルチキャストの中長期分析グラフ
